Идентификатор Microsoft Entra и стандарт PCI-DSS: требование 11
Требование 11. Проверка безопасности систем и сетей, регулярно
определенных требований к подходу
11.1 Процессы и механизмы регулярного тестирования системы и сетей определяются и понимаются.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.1.1 . Все политики безопасности и операционные процедуры, определенные в требовании 11, являются: Документированные данные, которые хранятся в актуальном состоянии , известные всем пострадавшим сторонам |
Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
11.1.2 Роли и обязанности по выполнению действий в требованиях 11 документируются, назначаются и понимаются. | Используйте инструкции и ссылки здесь, чтобы создать документацию для выполнения требований на основе конфигурации среды. |
11.2 Беспроводные точки доступа определяются и отслеживаются, а несанкционированные беспроводные точки доступа устраняются.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.2.1 Авторизованные и несанкционированные беспроводные точки доступа управляются следующим образом: наличие беспроводных точек доступа (Wi-Fi) проверяется для. Все авторизованные и неавторизованные точки беспроводного доступа обнаруживаются и определяются. Тестирование, обнаружение и идентификация выполняются по крайней мере каждые три месяца. Если используется автоматизированный мониторинг, персонал уведомляется с помощью созданных оповещений. |
Если ваша организация интегрирует точки доступа к сети с идентификатором Microsoft Entra для проверки подлинности, см . требование 1. Установка и обслуживание элементов управления безопасностью сети |
11.2.2 Сохраняется инвентаризация авторизованных точек беспроводного доступа, включая документированную бизнес-обоснование. | Неприменимо к идентификатору Microsoft Entra. |
11.3 Внешние и внутренние уязвимости регулярно определяются, приоритеты и устраняются.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.3.1 Внутренние проверки уязвимостей выполняются следующим образом: по крайней мере один раз в три месяца. Устранены высокий риск и критически важные уязвимости (на рейтинг риска уязвимостей сущности, определенный в требованиях 6.3.1). Выполняется повторная проверка, которая подтверждает разрешение всех критических уязвимостей и рисков (как отмечалось). Средство сканирования обновлено с последними сведениями об уязвимостях. Сканирование выполняется квалифицированным персоналом и организацией, независимо от того, существует ли тестировщик. |
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, соединители прокси приложения и т. д. в рамках внутренних проверок уязвимостей. Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с идентификатором Microsoft Entra? Просмотр и устранение рисков, сообщаемых Защита идентификации Microsoft Entra. Интегрируйте сигналы с решением SIEM, чтобы интегрировать больше с рабочими процессами исправления или автоматизацией. Типы рисков и обнаружение запуска средства оценки Microsoft Entra регулярно и устраняют результаты. AzureADAssessment Операции безопасности для интеграции журналов Microsoft Entra с журналами Azure Monitor |
11.3.1.1 Все остальные применимые уязвимости (те, которые не считаются высокими рисками или критически важными для ранжирования рисков уязвимостей сущности, определенных в требованиях 6.3.1), управляются следующим образом: устранен на основе риска, определенного в целевом анализе рисков сущности, который выполняется в соответствии со всеми элементами, указанными в требовании 12.3.1. При необходимости выполняется повторная сканирование. |
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, соединители прокси приложения и т. д. в рамках внутренних проверок уязвимостей. Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с идентификатором Microsoft Entra? Просмотр и устранение рисков, сообщаемых Защита идентификации Microsoft Entra. Интегрируйте сигналы с решением SIEM, чтобы интегрировать больше с рабочими процессами исправления или автоматизацией. Типы рисков и обнаружение запуска средства оценки Microsoft Entra регулярно и устраняют результаты. AzureAD/AzureADAssessment Операции безопасности для интеграции журналов Microsoft Entra с журналами Azure Monitor |
11.3.1.2 Внутренние проверки уязвимостей выполняются с помощью проверки подлинности следующим образом: системы, которые не могут принимать учетные данные для проверки подлинности, документируются. Достаточные привилегии используются для тех систем, которые принимают учетные данные для сканирования. Если учетные записи, используемые для проверки подлинности, можно использовать для интерактивного входа, они управляются в соответствии с требованием 8.2.2. |
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, соединители прокси приложения и т. д. в рамках внутренних проверок уязвимостей. Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с идентификатором Microsoft Entra? Просмотр и устранение рисков, сообщаемых Защита идентификации Microsoft Entra. Интегрируйте сигналы с решением SIEM, чтобы интегрировать больше с рабочими процессами исправления или автоматизацией. Типы рисков и обнаружение запуска средства оценки Microsoft Entra регулярно и устраняют результаты. AzureADAssessment Операции безопасности для интеграции журналов Microsoft Entra с журналами Azure Monitor |
11.3.1.3 Внутренние проверки уязвимостей выполняются после каких-либо существенных изменений, как показано ниже: разрешены высокий риск и критически важные уязвимости (для ранжирования рисков уязвимостей сущности, определенных в требованиях 6.3.1). При необходимости выполняется повторная сканирование. Проверки выполняются квалифицированным персоналом и организацией независимости тестировщика (не требуется быть квалифицированным проверяющим специалистом по безопасности (QSA) или утвержденным поставщиком проверки (ASV)). |
Включите серверы, поддерживающие гибридные возможности Microsoft Entra. Например, Microsoft Entra Connect, соединители прокси приложения и т. д. в рамках внутренних проверок уязвимостей. Организации, использующие федеративную проверку подлинности: проверка и устранение уязвимостей инфраструктуры системы федерации. Что такое федерация с идентификатором Microsoft Entra? Просмотр и устранение рисков, сообщаемых Защита идентификации Microsoft Entra. Интегрируйте сигналы с решением SIEM, чтобы интегрировать больше с рабочими процессами исправления или автоматизацией. Типы рисков и обнаружение запуска средства оценки Microsoft Entra регулярно и устраняют результаты. AzureADAssessment Операции безопасности для интеграции журналов Microsoft Entra с журналами Azure Monitor |
11.3.2 Внешние проверки уязвимостей выполняются следующим образом: по крайней мере один раз в три месяца. По стандарту PCI SSC ASV. Устранены уязвимости и выполнены требования к программе ASV для прохождения проверки. Повторное сканирование выполняется по мере необходимости, чтобы убедиться, что уязвимости разрешаются в соответствии с требованиями руководства по программе ASV для прохождения проверки. |
Неприменимо к идентификатору Microsoft Entra. |
Проверка внешних уязвимостей 11.3.2.1 выполняется после любого значительного изменения следующим образом: устранены уязвимости, оцененные 4.0 или более поздней версией CVSS. При необходимости выполняется повторная сканирование. Сканирование выполняется квалифицированным персоналом и организацией независимости тестировщика (не требуется быть QSA или ASV). |
Неприменимо к идентификатору Microsoft Entra. |
11.4 Регулярно выполняются внешние и внутренние проверки на проникновение, а уязвимости и уязвимости безопасности исправляются.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.4.1 Методология тестирования на проникновение определена, документирована и реализована сущностью и включает в себя: подходы к тестированию на проникновение, принятые в отрасли. Покрытие для всей среды данных заполнителей карт (CDE) периметра и критически важных систем. Тестирование как внутри, так и за пределами сети. Тестирование для проверки любых элементов управления сегментацией и сокращением области. Тестирование на проникновение на уровне приложений для выявления, как минимум, уязвимостей, перечисленных в обязательных требованиях 6.2.4. Тесты на проникновение на уровне сети, охватывающие все компоненты, поддерживающие сетевые функции и операционные системы. Обзор и рассмотрение угроз и уязвимостей, возникших за последние 12 месяцев. Документируемый подход к оценке и устранению риска, вызванного уязвимостями и недостатками безопасности, обнаруженными во время тестирования на проникновение. Хранение результатов тестирования на проникновение и результаты действий по исправлению не менее 12 месяцев. |
Правила тестирования на проникновение взаимодействия, Microsoft Cloud |
11.4.2 Выполняется внутреннее тестирование на проникновение: по определенной методологии сущности. По крайней мере один раз в 12 месяцев. После обновления или изменения любой значительной инфраструктуры или приложения. Квалифицированный внутренний ресурс или квалифицированный внешний сторонний поставщик. Организация независимости тестировщика существует (не требуется быть QSA или ASV). |
Правила тестирования на проникновение взаимодействия, Microsoft Cloud |
Выполняется тестирование внешнего проникновения 11.4.3 : по определенной методологии сущности. По крайней мере один раз в 12 месяцев. После обновления или изменения любой значительной инфраструктуры или приложения. Квалифицированный внутренний ресурс или квалифицированная внешняя сторонняя сторона. Организация независимости тестировщика существует (не требуется быть QSA или ASV). |
Правила тестирования на проникновение взаимодействия, Microsoft Cloud |
11.4.4 Уязвимости и недостатки безопасности, обнаруженные во время тестирования на проникновение, исправляются следующим образом: в соответствии с оценкой сущности риска, вызванной проблемой безопасности, как определено в требованиях 6.3.1. Тестирование на проникновение повторяется для проверки исправлений. |
Правила тестирования на проникновение взаимодействия, Microsoft Cloud |
11.4.5 Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются на элементах управления сегментации следующим образом: по крайней мере один раз каждые 12 месяцев и после любых изменений элементов управления сегментацией или методов. Охватывает все элементы управления сегментации и методы, используемые. Согласно определенной методологии тестирования на проникновение сущности. Убедитесь, что элементы управления сегментации и методы являются операционными и эффективными и изолированы CDE от всех систем вне области. Подтверждение эффективности любого использования изоляции для отдельных систем с различными уровнями безопасности (см. требование 2.2.3). Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней стороной. Организация независимости тестировщика существует (не требуется быть QSA или ASV). |
Неприменимо к идентификатору Microsoft Entra. |
11.4.6. Дополнительное требование только для поставщиков услуг. Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются на элементах управления сегментации следующим образом: по крайней мере один раз в шесть месяцев и после внесения изменений в элементы управления сегментацией или методы. Охватывает все элементы управления сегментации и методы, используемые. Согласно определенной методологии тестирования на проникновение сущности. Убедитесь, что элементы управления сегментации и методы являются операционными и эффективными и изолированы CDE от всех систем вне области. Подтверждение эффективности любого использования изоляции для отдельных систем с различными уровнями безопасности (см. требование 2.2.3). Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней стороной. Организация независимости тестировщика существует (не требуется быть QSA или ASV). |
Неприменимо к идентификатору Microsoft Entra. |
11.4.7 Дополнительное требование только для поставщиков услуг с несколькими клиентами: поставщики услуг с несколькими клиентами поддерживают свои клиенты для тестирования внешнего проникновения на требование 11.4.3 и 11.4.4. | Правила тестирования на проникновение взаимодействия, Microsoft Cloud |
11.5 Сетевые вторжения и непредвиденные изменения файлов обнаруживаются и реагируют на них.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.5.1 Методы обнаружения вторжений и (или) предотвращения вторжений используются для обнаружения и /или предотвращения вторжений в сеть следующим образом: весь трафик отслеживается по периметру CDE. Весь трафик отслеживается в критически важных точках CDE. Персонал оповещен о предполагаемых компромиссах. Все механизмы обнаружения и предотвращения вторжений, базовые показатели и подписи хранятся в актуальном состоянии. |
Неприменимо к идентификатору Microsoft Entra. |
11.5.1.1. Дополнительное требование только для поставщиков услуг: обнаружение вторжений и /или методы предотвращения вторжений обнаруживают, оповещают и предотвращают, а также устраняют скрытые каналы связи с вредоносными программами. | Неприменимо к идентификатору Microsoft Entra. |
11.5.2 Механизм обнаружения изменений (например, средства мониторинга целостности файлов) развертывается следующим образом: для оповещения персонала о несанкционированном изменении (включая изменения, дополнения и удаления) критически важных файлов. Для выполнения критических сравнений файлов по крайней мере один раз в неделю. |
Неприменимо к идентификатору Microsoft Entra. |
11.6 Несанкционированные изменения на страницах оплаты обнаруживаются и отвечают на них.
Требования к определенному подходу PCI-DSS | Рекомендации и рекомендации Microsoft Entra |
---|---|
11.6.1 Механизм обнаружения изменений и изменения развертывается следующим образом: для оповещения персонала о несанкционированном изменении (включая индикаторы компрометации, изменения, дополнения и удаления) в заголовки HTTP и содержимое страниц оплаты, полученных браузером потребителя. Механизм настроен для оценки полученного заголовка HTTP и страницы оплаты. Функции механизма выполняются следующим образом: по крайней мере один раз в семь дней или периодически на частоте, определенной в целевом анализе рисков сущности, который выполняется по всем элементам. |
Неприменимо к идентификатору Microsoft Entra. |
Следующие шаги
Требования PCI-DSS 3, 4, 9 и 12 не применимы к идентификатору Microsoft Entra, поэтому нет соответствующих статей. Чтобы просмотреть все требования, перейдите к pcisecuritystandards.org: официальный сайт Совета безопасности PCI.
Сведения о настройке идентификатора Microsoft Entra для соответствия ТРЕБОВАНИЯМ PCI-DSS см. в следующих статьях.
- Руководство microsoft Entra PCI-DSS
- Требование 1. Установка и обслуживание элементов управления безопасностью сети
- Требование 2. Применение безопасных конфигураций ко всем системным компонентам
- Требование 5. Защита всех систем и сетей от вредоносного программного обеспечения
- Требование 6. Разработка и обслуживание безопасных систем и программного обеспечения
- Требование 7. Ограничение доступа к системным компонентам и данным заполнителей карт по бизнесу необходимо знать
- Требование 8. Определение пользователей и проверка подлинности доступа к системным компонентам
- Требование 10. Ведение журнала и мониторинг всех доступа к системным компонентам и данным заполнителей карт
- Требование 11. Регулярное тестирование безопасности систем и сетей (здесь)
- Руководство по многофакторной идентификации Microsoft Entra PCI-DSS